✔ Linux Hackerangriffe Abwehren

[Benjamin5]

Hallo leute, Ich habe ien mächtiges Problem. Ich besitze einen Linux Rootserver mit Debian.
Seit einigen Tagen stelle Ich fest das man versucht meinen server Zu hacken. Gestern ist es ihnen dann endlich gelungen, allerdings konnten wir schnel Reagieren. Zur Sicherheit hatten wir dennoch ein Backup eingespielt und das Rootpasswort geändert. Ebenfalls war Ich heute schon bei der Polizei und habe Anzeige erstattet und die Serverlogs eingereicht.

Jetzt ist die Frage wie kann Ich diesen Dauerangriff unterbinden, das man sich nach 2 oder 3 Fehlversuchen für eine zeit die Ich festlegen kann nicht mehr per SSH einloggen kann?

Ich kann SSH eider nict abschalten weil dies ir nicht erlaubt ist.

Ich wäre über eure Hilfe sehr Dankbar damit Ich nachts auch wieder ruhig schlaffen kann.

 

[mr_floppy]

Besorg dir fail2ban, das Prog sperrt bei z.B. 3 falschen Login Versuchen die IP´s via IPTables für einen gewissen (von dir eingestellten) Zeitraum. Das Prog funktionert bei SSH, FTP, und ein paar anderen Diensten. Solltest auch den SSH Port verlegen, falls du das noch nicht gemacht hast. Du kannst eine ganze Menge machen damit "die" es nicht zu leicht haben. Solltest dich mal bei Gelegenheit bisschen mit der Absicherung eines Roots beschäfftigen.

 

[Navy]

Such mal nach dem authfail-script, das blockt IP-Adressen, sofern sich über eine solche ein User mehrmals mit falschen Userdaten versucht hat anzumelden.

 

[Benjamin5]

Ok, vielen Dank für die Hilfe gleich mal an die Arbeit machen und Ausprobieren.

 

[Dennis Wronka]

SSH trennt doch die Verbindung nach einer gewissen Zahl an fehlgeschlagenen Logins, oder?
Wenn dies der Fall ist brauchst Du nicht auf irgendwelche lustigen Tools setzen sondern kannst alles mit Linux-Bordmitteln (IPTables/Netfilter) loesen.
Das Recent-Modul von Netfilter ist hierbei sehr hilfreich und hat mir auch geholfen einen Angriff auf einen FTP-Server zu stoppen.

 

[Navy]

authfail ist nichts anderes als ein Script, welches selbständig Einträge in IPtables macht, wenn eine kritische Anzahl an Loginversuchen durchgeführt worden sind. Es ist recht klein und übersichtlich...

 

[Dennis Wronka]

Also ich weiss nicht. Ein Script welches die ganze Zeit mit root-Rechten vor sich hertuckert und dann bei Bedarf in meiner Filter-Konfiguration herumwurstet... Nein danke.
Da nehm ich lieber ein paar Minuten mehr Arbeit bei der Konfiguration in Kauf und loese das Problem gleich mit entsprechenden Netfilter-Regeln.

Ich mein zum Recent-Modul hatte ich auch mal gebloggt.

Ich nehme auch mal an dass authfail und fail2ban staendig die Log-Files des zu ueberwachenden Service auswerten.
Und in einer SELinux-Umgebung kann dieses Zusammenspiel, die Ueberwachung von Log-Files die einem bestimmten Service gehoeren, und die Notwendigkeit Netfilter-Regeln erstellen zu koennen eventuell zu einem Problem werden.